EN VPS -server (virtuel privat server), Det er en logisk partition af en harddisk gennem en virtuel maskine, en vps giver os mere kontrol over styringen af ressourcer sammenlignet med den delte server service.
En VPS er ideel til dem, der ønsker at bruge en server professionelt, men til en lavere pris end en dedikeret, og også til dem, der ønsker at starte og lave tests i administrationen af servere, men ikke er sikre på de tekniske aspekter, VPS server er en god mulighed for at starte. Det kan bruges til at teste værktøjer og færdigheder uden at bruge for mange penge og sætte en produktionsserver i fare.
Vi kan oprette en VPS som det ses i selvstudiet:
- Opret en lokal VPS -server
Eller brug nogle betalinger, der er mange virksomheder, der tilbyder VPS -server pr. Måned eller pr. Dag, f.eks. DigitalOcean, til at teste konfigurationer i et reelt miljø.
Det vigtigste, når vi skal administrere en server, er at beslutte, hvilke sikkerhedsforanstaltninger vi vil vedtage, der er nødvendige. Selvom der er mange sikkerhedsforanstaltninger og værktøjer, kan de også være kontraproduktive, da de forbruger ressourcer og muligvis ikke tillader, at nogle applikationer fungerer godt, så vi skal være opmærksom på risiciene, behovet for at kunne beslutte balancen mellem lethed, serverens ydeevne og sikkerhed.
I denne vejledning vil jeg levere en række anbefalede konfigurationer til en sikker VPS
Adgangsblokering med firewalls
Firewalls fungerer som en barriere mellem generel internettrafik og serveren. Det er vigtigt at gennemgå, filtrere og blokere intern og ekstern trafik.
Gennem et sæt regler, der er konfigureret af administratoren, vil en server kun bruge bestemte netværksporte til autoriserede tjenester. Resten af havnene er ikke blevet brugt og skal beskyttes sikkert bag en firewall for at nægte al trafik bestemt til disse steder.
Til denne vejledning antager vi, at vi administrerer en Linux VPS -server til at vedtage sikkerhedsforanstaltninger. For at etablere grundlæggende firewallregler skal vi først spore, hvilke porte vi har åbne, til dette bruger vi kommandoen:
ifconfigVi bestemmer ip:
nmap -sT -O 192.168.0.11
Dette giver dig mulighed for at vide, hvilke porte der lytter og betingelse af brugen af tjenester i nogle tilfælde. Konfiguration af reglerne for vores firewallbrønd er et godt grundlag for sikkerheden på serveren og netværket.
Der er mange firewalls til rådighed, nogle er:
- IPCop Firewall
- ConfigServer Sikkerhed og firewall
Den mest anvendte firewall er Iptables, der allerede følger med Linux, men det har ikke en grafisk grænseflade, fra terminalvinduet (forbundet via SSH) kan vi bruge følgende kommandoer:
Bloker en given indgående IP:
sudo iptables -A INPUT -s 190.160.45.60 -j DROPBloker en indgående IP og en port via ethernet -netværksinterface eller kablet netværk:
iptables -A INPUT -i eth0 -s 190.160.45.60 -destination -port 25 -j DROPJeg blokerer en indkommende IP, men via WiFi:
iptables -A INPUT -i wlan0 -s 190.160.45.60 -j DROPHvis jeg fjerner -s IP -parameteren og forlader porten, blokerer jeg porten for enhver IP
Iptables er værktøjet, der bruges til at styre netfilter -firewallen, der er inkluderet i Linux -kernen. Fordelen ved Iptables er, at den har gennemgået meget dybe sikkerhedsrevisioner for at sikre, at den fungerer og er nyttig.
Et andet interessant aspekt er, at vi kan oprette et script eller en grænseflade til at definere reglerne for iptables, selvom der allerede er mange tilgængelige, som kan give dig mulighed for at konfigurere med regelsæt på en meget fleksibel måde.
Brug SSH sikkert til fjernadministration
Når vi skal administrere en server, som vi ikke har lokal adgang, skal vi gøre det eksternt. Til dette bruges tjenesten gennem en protokol kaldet SSH, som står for Secure Shell, som gør det muligt for serveren at blive fuldstændigt administreret ved hjælp af en kommandotolk,
SSH giver mulighed for at oprette og vedligeholde en trafiktunnel mellem computeren og serveren, så der etableres en sikker forbindelse, når tunnelen sender data over en krypteret forbindelse.
Selvom selve protokollen er meget sikker og er blevet grundigt analyseret og sikkerhedstestet, kan vi tilføje nogle konfigurationsmuligheder for at gøre den mere sikker, f.eks. ændre porten, da SSH -forbindelsesporten som standard er port 22, til dette forbinder vi via SSH og redigerer derefter filen:
/ etc / ssh / sshd_configVi forbinder ved hjælp af følgende kommando:
ssh bruger @ ip
Dernæst redigerer vi filen og ændrer porten til en anden efter vores smag, der ikke forstyrrer nogen service, for eksempel 9200:
nano / etc / ssh / sshd_config
Vi optager og vi genstarter SSH så den vedtager den nye konfiguration ifølge linux distro:
Fedora, Centos
sbin / service sshd genstartDebian, Ubuntu
/etc/init.d/sshd genstartSå bliver vi nødt til at få adgang igen, vi gør det som følger:
ssh bruger @ ip -p 9200Så blokerer vi port 22 på denne måde, de vil ikke være i stand til at scanne os og forsøge et brutalt kraftangreb.
iptables -A OUTPUT -p tcp --dport 22 -j DROPInstaller en IPS eller indtrængningsforebyggende system
Et indbrudsforebyggende system er software, der giver dig mulighed for at overvåge og kontrollere adgang på et computernetværk for at beskytte ressourcer eller en server mod angreb og indtrængen. Indtrængningsforebyggende teknologi er et vigtigt supplement til et indtrængningsdetekteringssystem (IDS), mens en IPS fungerer som en firewall, mens en IDS analyserer, hvilken type trafik der cirkulerer på netværket, men også kontrollerer indholdet og hvad indholdet gør.
Et eksempel er Fail2Ban, det er en applikation udviklet under Python til forebyggelse af indtrængen, det er en IPS, der automatisk virker ved at analysere og blokere fjernforbindelser, der forsøger brute force -adgang.
Fail2ban bruger ikke kun sin egen log over adgangsforsøg, den bruger også logs fra anden software, f.eks. Iptables, som angiver reglerne for at kunne anvende en lås.
Du kan bruge regler oprettet af administratoren eller oprette nye i henhold til din egen konfiguration, f.eks. Blokere en IP, der ikke har haft adgang til 3 gange.
Vi kan fra et SSH -vindue eller downloade det fra dets officielle websted, hvis det kommer i depoterne i vores distro, installerer vi det.
apt-get install fail2banDerefter konfigurerer vi det ved at redigere følgende fil:
nano /etc/fail2ban/jail.conf
Her redigerer vi nogle af de vigtigste parametre
- ignorip: ip, der aldrig blokeres.
- bantime: tid i sekunder, hvor IP -blokken vil vare.
- maxretry: maksimalt antal mislykkede adgangsforsøg, før de blokeres.
Derefter kan vi oprette filtre til forskellige applikationer, som vi kan finde i biblioteket:
cd /etc/fail2ban/filter.d
Dette indtrængningsforebyggende system giver os mulighed for at afbøde mange angreb og dermed øge den generelle sikkerhed i vores VPS -konfiguration.
Fail2ban er en tjeneste, der overvåger logfilerne for at afgøre, om en adgang er en legitim bruger og om ikke midlertidigt at blokere trafikken fra den IP -adresse, der er knyttet til brugeren, der har til hensigt at få adgang til nogle tjenester, det være sig ftp, ssh, e -mail, web osv.
Dette er en let måde at blokere brute force -metoder automatisk, da blokering af det vil få angrebet til at stoppe med at fungere, så længe vi angiver det. Dette er normalt nok til at afskrække yderligere forsøg på brutal kraft.
Implementere a indtrængningsdetekteringssystem eller IDS
Et indbrudsdetekteringssystem, eller IDS, er det obligatoriske supplement til et indbrudsforebyggende system. Et IDS registrerer fil- eller registreringsændringer ved at køre sammenligninger Mod disse tidligere registrerede stater at vide, om filerne er blevet ændret eller en konfiguration er blevet ændret og for at registrere, hvilken bruger der har gjort det.
Der er mange IDS som Snort, som vi så i selvstudiet:
- Hacker -forebyggelses- og sikkerhedsværktøjer
- Suricata Intruder Detection System
- Hærdet sikkerhed for servere og operativsystemer.
Disse værktøjer bruger en database med systemfiler og beskytter konfigurationsfiler. Ved at konfigurere regler og undtagelser definerer du, hvilke filer der skal beskyttes, og hvad der skal rapporteres, så når du begynder at overvåge systemet, kan du gennemgå henrettelser og enhver ændring af de filer, der overvåges.
Alle værktøjerne kan konfigureres til automatisk at tjekke med cronjob fra tid til anden og endda implementere e -mail -meddelelser i tilfælde af usædvanlig aktivitet.
Hvis vi for eksempel tager Snort, installerer vi det fra lagrene:
apt-get install snort
Derefter går vi til biblioteket, hvor regelfilerne er:
cd / etc / snort / rules
Lad os f.eks. Se på filen mysql.regler
nano mysql.reglerHvor vi ser angivet, at enhver ekstern eller root -brugeradgang til MySQL -tjenesten skal informeres.
Et andet eksempel er f.eks. Overvågning af chatprogrammer både fra serveren eller fra en computer på netværket eller fra en ekstern computer, der bruger vores server.
nano chat.regler
Vi kan også konfigurere hver regelfil til at registrere downloads fra en browser eller adgang til en tjeneste, ændring af en fil eller en bestemt webside.
Suricata er mere moderne end Snort og Tripwire, da det fungerer som en sniffer -motor til at analysere den indgående og udgående trafik i et netværkssystem. Det er imidlertid ressourcekrævende at analysere og opdage indtrængen ved at gøre dobbeltarbejde som IDS og IPS.
Det har også plugins til at tildele regler og analysere mange applikationer og programmer. Suricata fungerer på alle lag af OSI -modellen.
Kontroller for vira og malware med Linux Malware Detect eller ClamAV
Selvom Linux er mindre tilbøjelig til disse typer angreb, er det ikke immun mod ondsindet software. Værktøjerne i et sikkerhedssystem i forbindelse med implementeringen af en IPS og et IDS til at detektere indtrængningsforsøg kræver software, der er i stand til at søge og opdage malware for at identificere spor af aktivitet, der indikerer, at der er installeret farlig software i systemserveren.
I selvstudiet til Linux Malware Detect (LMD) til sikring af Linux blev installationen og brugen af dette værktøj til at opdage malware forklaret, gå ikke glip af det.
Der findes en række malware -scannere til Linux -systemer, der med jævne mellemrum kan validere integriteten af servere. Linux Malware Detect, også kendt som maldet eller LCD, er en populær mulighed, der kan installeres og konfigureres til at scanne efter kendte malware -signaturer baseret på dets database.
Det kan køres manuelt til engangsscanninger og kan også køres via cronjob for at køre regelmæssige forebyggende scanninger og søgninger, især for at kontrollere e-mails og filer, der kan uploades med ftp til serveren. Rapporter om disse scanninger kan mailes til serveradministratorer.
Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt